CN115277123B - 车用can总线注入攻击异常检测方法及系统 - Google Patents
车用can总线注入攻击异常检测方法及系统 Download PDFInfo
- Publication number
- CN115277123B CN115277123B CN202210817913.7A CN202210817913A CN115277123B CN 115277123 B CN115277123 B CN 115277123B CN 202210817913 A CN202210817913 A CN 202210817913A CN 115277123 B CN115277123 B CN 115277123B
- Authority
- CN
- China
- Prior art keywords
- bus
- node
- weighted
- sequence
- log data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000002347 injection Methods 0.000 title claims abstract description 58
- 239000007924 injection Substances 0.000 title claims abstract description 58
- 238000000034 method Methods 0.000 title claims abstract description 56
- 230000005856 abnormality Effects 0.000 title claims abstract description 15
- 239000013598 vector Substances 0.000 claims abstract description 64
- 238000005259 measurement Methods 0.000 claims abstract description 37
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 14
- 238000012549 training Methods 0.000 claims description 63
- 238000001514 detection method Methods 0.000 claims description 47
- 230000015654 memory Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000010276 construction Methods 0.000 claims description 7
- 238000012937 correction Methods 0.000 claims description 4
- 238000013016 damping Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005265 energy consumption Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000036961 partial effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 239000011435 rock Substances 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种车用CAN总线注入攻击异常检测方法及系统,获取目标车辆中的CAN总线消息日志数据,按照固定时间段划分后,以日志中标识符字段为顶点,相邻标识符顺序为有向边,以时序值为权值,构成加权多重图结构,然后利用改进的佩奇排名算法对加权多重图的每个节点的优先级进行计算,形成优先级权重向量,接着利用预训练的变分自动编码器获得度量阈值,最后将待检测数据输入变分自动编码器获得度量值,通过与阈值比较确定是否遭到注入攻击出现了异常。本发明在可以接受的时间开销范围内,准确检测出各种注入攻击下的CAN总线异常情况,消除了其对于CAN总线通信安全的影响,从而保证车联网底层流量的安全可靠。
Description
技术领域
本发明涉及异常检测技术领域,具体地,涉及一种基于加权多重图的车用CAN总线注入攻击异常检测方法及系统,同时提供了一种相应的终端及计算机可读存储介质。
背景技术
近年来,自动驾驶和智能车辆的研究热度持续上升,研究内容也日臻完善。国内的相关公司如百度、腾讯和华为等,国外如谷歌和特斯拉等,在这些方面都投入了巨大的努力,也取得了优秀的成果。而越来越先进的车辆系统也使得人们的生活在智慧化的道路上迈出了巨大的步伐。
随着车辆智能化和驾驶自动化,其中包含的安全问题也逐渐被研究者所重视。从系统的防护、用户的认证、隐私的保护到车联网信息的交互、车辆间通信的安全,都亟待研究者对其的投入和完善。在这些安全问题中,最普遍也是最容易遭受到的安全威胁即是对车内底层通信总线的入侵。当前几乎所有车辆都采用了控制器局域网络(Controller AreaNetwork,简称为CAN)总线的结构来进行内部智能元件的沟通和协同。但是由于CAN总线为了传输的高效,通常采用明文进行消息的传递,且期中缺乏必要的认证和安全字段,使得攻击者可以采用无线或是物理直连的方式对CAN总线进行恶意信息的注入,干扰或是欺骗车内的通信流量,从而达到关停特定服务,干扰信息传递甚至代替车主发出控制指令的目的,对车辆本身和车主人身安全及道路安全都有着巨大的威胁。其攻击方式简单,效果明显,是对车辆底层架构威胁较大的攻击方式之一。
传统的CAN总线入侵异常检测方式,分为基于协议内容的异常检测和基于正负样本训练的检测。在实际应用场景的检测中,基于协议内容的异常检测方法常由于各个厂商所规定的协议内容复杂多变且多半保密而导致成本较高且不具备通用性。而基于正负样本训练的检测方案虽然有效但是在实际应用场景中无法预先采集到大量有效负样本,导致训练数据的缺乏,不利于检测方案的实施。
发明内容
本发明针对现有技术中存在的上述不足,提供了一种基于加权多重图的车用CAN总线注入攻击异常检测方法及系统,同时提供了一种相应的终端及计算机可读存储介质,能够在车用CAN总线运行过程中及时发现并处理攻击者带来的入侵攻击导致的异常流量,从而降低或去除异常带来的风险和危害。
根据本发明的一个方面,提供了一种车用CAN总线注入攻击异常检测方法,包括:
获取目标车辆中的CAN总线消息日志数据;
按照固定时间段对所述日志数据进行划分,构建加权多重图结构;
对所述加权多重图结构中各个节点的优先级进行计算,获得节点的优先级权重向量,得到待检测数据;
获取训练数据集,利用所述训练数据集对变分自动编码器进行训练,获得训练样本的度量阈值;
将所述待检测数据输入至训练后的变分自动编码器获得所述待检测数据的度量值,将所述度量值与所述度量阈值进行比较,得到车用CAN总线注入攻击异常检测结果。
可选地,按照固定时间段对所述日志数据进行划分,包括:
定义获取的CAN总线消息日志数据为一个由时间戳、标识符、数据长度和消息组成的日志序列L,则:
L={(T,ID,DLC,Msg)}
其中,T为时间戳,ID为标识符,DLC为数据长度,Msg为消息;
按照自定义的时间间隔Δt和初始时间t0,获取所述日志序列L中的时间戳和标识符字段,将每次获取的一个完整日志序列L划分为多个长度固定的字段Si:
Si={(t,ID)}
其中,t∈(t0+iΔt,t0+(i+1)Δt),i∈Ν,表示时间间隔内的时间戳和标识符的集合。
可选地,所述构建加权多重图结构,包括:
以所述日志数据中的标识符字段为顶点,相邻标识符顺序为有向边,以时序值为权值,构建加权多重图结构;其中:
对于每一个日志数据中划分得到的字段序列S,令所述日志数据中的标识符集合ID={IDi}为顶点集合V,前后顺序相邻的两个标识符IDj与IDj+1为有向边,以所述有向边在字段序列S中的时序序号Orderj作为权值构成边ej,则:
ej=(IDj,IDj+1,Orderj)
令加权有向边集合E={ej}形成边集合,将所述顶点集合V与所述边集合E构成加权多重图结构Gt,则:
Gt=(V,E)=({IDi},{ej})
其中,j为由时间戳和标识符构成的字段Si中的标识符的序号。
可选地,所述对所述加权多重图结构中各个节点的优先级进行计算,获得节点的优先级权重向量,包括:
对于已经得到的加权多重图结构Gt,采用能够对加权有向多重图进行节点优先级权值计算的佩奇排名算法,针对加权有向多重图,以边总数与从该节点出发的有向边权值占总权值占比的乘积作为依据来计算所述加权多重图结构Gt中各个节点在当前序列中的优先程度;其中:
在所述能够对加权有向多重图进行节点优先级权值计算的佩奇排名算法中,节点i在所述加权多重图结构Gt中的优先级权重Wi表示为:
其中,N表示结点总数,q为防止孤立结点的存在而设置的修正量阻尼系数,Cjt表示以节点j为起点的第t条有向边的权值关于权值总和占比与边总数的乘积,Cjt的具体公式为:
其中,表示以节点j为起点的第t条有向边的权值,∑kOrderk表示权值总和,N表示边总数。基于所述Wi和/>的表述,采用所述能够对加权有向多重图进行节点优先级权值计算的佩奇排名算法对所述加权多重图结构Gt中的各个节点进行迭代,计算出每个节点最终的权重序列,构成用于表示图中各个节点的优先级权重的向量Xt,则:
Xt=(W0,W1,...,Wn)
其中,Wi表示第i个CAN标识符IDi对应的节点在整个加权多重图结构Gt中的优先级度量。
可选地,所述获取训练数据集,利用所述训练数据集对变分自动编码器进行训练,获得训练样本的度量阈值,包括:
获取同一型号车辆的正常样本作为训练样本构建训练数据集,并计算所述训练样本的优先级权重向量;
将所述训练样本的优先级权重向量输入到变分自动编码器中,利用变分自动编码器的特性使其学习正样本的隐藏分布,并通过生成的编码器对输入向量Xt进行编码到隐藏层,再通过生成的解码器重构得到输出向量计算所述输出向量/>与输入向量Xt之间表示前后变化程度的重构误差losst:
其中,与/>分别表示输入向量Xt与输出向量/>的均值,1e-10为安全因子,用于防止对数函数内部为0的情况发生;通过获取训练样本的重构误差losst,得到重构误差区间的上界tu和下界tl并圈定可调参数误差范围θ作为阈值的偏差量,定为训练样本的度量阈值t为:
t=(tl,tu,θ)
当经过编码器和解码器得到的输出向量与输入向量之间的重构误差处于所述度量阈值t所规定的范围以内时,确认为车用CAN总线无异常注入情况,反之,则确认为车用CAN总线遭受了注入攻击产生了异常。
根据本发明的另一个方面,提供了一种车用CAN总线注入攻击异常检测系统,包括:
日志数据获取模块,该模块用于获取目标车辆中的CAN总线消息日志数据;
加权多重图构建模块,该模块用于按照固定时间段对所述日志数据进行划分,构建加权多重图结构;
优先级权重向量获取模块,该模块用于对所述加权多重图结构中各个节点的优先级进行计算,获得节点的优先级权重向量,得到待检测数据;
度量阈值获取模块,该模块利用获取的训练数据集对变分自动编码器进行训练,获得训练样本的度量阈值;
注入攻击异常检测模块,该模块用于将待检测数据输入至训练后的变分自动编码器获得所述待检测数据的度量值,通过与所述度量阈值进行比较,得到车用CAN总线注入攻击异常检测结果。
可选地,所述日志数据获取模块采用CAN总线分析仪采集目标车辆中的CAN总线消息日志数据。
根据本发明的第三个方面,提供了一种终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时可用于执行上述任一项所述的方法,或,运行上述任一项所述的系统。
根据本发明的第四个方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可用于执行上述任一项所述的方法,或,运行上述任一项所述的系统。
由于采用了上述技术方案,本发明与现有技术相比,具有如下至少一项的有益效果:
本发明采用加权图结构,可以有效记录节点之间的时间顺序情况,从而防止图形成环路后无法辨析顺序导致错分类的情况发生。通过给图中的有向边进行加权的行为,实现了较细粒度的恶意样本检出,从而保证CAN总线异常检测的可靠性。
本发明采用多重图结构,可以有效解决相同起点和终点的有向边多次出现的情况,从而防止简单图中多次重现的相同起点和终点的有向边多次出现但只被记录一次的情况,从而防止简单图中恶意消息被隐藏在正常消息中无法辨认的情况发生。通过将传统简单图强化为多重图的行为,实现了更细粒度的恶意样本检出,从而保证CAN总线异常检测的可靠性。
本发明应用在CAN总线异常检测场景中,考虑的方案更加全面,不仅针对注入无意义阻塞信息的分布式拒绝服务攻击、劫持电子控制元件发送错误信息的劫持攻击和注入重复字段的重放攻击等几类典型的攻击机制可以在日志序列中检测出异常信息更提出了基于变分自动编码器的重构误差比较检测方案,扩大了检测面,使得本发明对于出现的新型注入攻击也可以进行统一的检测,具有很好的泛用性。
本发明具有低能耗,高有效性的优势。增加了对于部署开销的考量,为了降低检测和判断的消耗,本发明提取预先训练模型(变分自动编码器)确定阈值的方法,针对同一型号的车辆,提前进行利用大量正常样本进行编码器和解码器的训练以及阈值的确定,提前部署在该型号的车辆中,对行车过程中产生的日志样本进行全面高效的检查,提高了检出恶意样本的可能性,同时也降低了对于所有流量检查的成本,具有高可靠、低能耗的特点,保证了本发明的优越性。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明一实施例中车用CAN总线注入攻击异常检测方法的工作流程图。
图2为本发明一优选实施例中车用CAN总线注入攻击异常检测方法的工作示意图。
图3为本发明一实施例中车用CAN总线注入攻击异常检测系统的组成模块示意图。
具体实施方式
下面对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
本发明一实施例提供了一种车用CAN总线注入攻击异常检测方法,该方法从CAN总线中提取出消息日志数据,接着将每个时间间隔内的日志,以标识符字段为顶点,相邻标识符顺序为有向边,构成加权多重图结构,并通过改进的佩奇排名算法得到该加权多重图结构的优先级度量值生成优先级权重向量,将生成的优先级权重向量输入变分自动编码器中,计算输出向量与输入向量的重构误差判断是否超出阈值以判断用户是否正在遭受注入攻击。
如图1所示,该实施例提供的车用CAN总线注入攻击异常检测方法,可以包括如下步骤:
S100,获取目标车辆中的CAN总线消息日志数据;
S200,按照固定时间段对日志数据进行划分,构建加权多重图结构;
S300,对加权多重图结构中各个节点的优先级进行计算,获得节点的优先级权重向量,得到待检测数据;
S400,获取训练数据集,利用训练数据集对变分自动编码器进行训练,获得训练样本的度量阈值;
S500,将待检测数据输入至训练后的变分自动编码器获得待检测数据的度量值,将度量值与度量阈值进行比较,得到车用CAN总线注入攻击异常检测结果。
在S100的一优选实施例中,通过CAN分析仪从车用CAN总线上提取流量日志并定义为L,具体定义为:
L={(T,ID,DLC,Msg)}
CAN总线流量日志L可以基本表示为由时间戳T,标识符ID,数据长度DLC和消息Msg组成的日志序列。按照一个自定义的时间间隔Δt和初始时间t0,取其中的时间戳和标识符字段,将每次获取的一个完整日志序列L划分成为多个长度固定的字段Si:
Si={(t,ID)}
其中,t∈(t0+iΔt,t0+(i+1)Δt),i∈N,表示时间间隔内的时间戳T和标识符ID的集合。
在S200的一优选实施例中,通过所得的流量日志进行加权多重图的构建,具体包括:
对于每一个日志中划分得到的字段序列S,令日志中的标识符集合ID={IDi}为顶点集合V,前后顺序相邻的两个标识符IDj与IDj+1为有向边,以该有向边在序列中的时序序号Orderj作为权值构成边ej:
ej=(IDj,IDj+1,Orderj)
令加权有向边集合E={ej}形成边集合,将顶点集合V与边集合E构成加权多重图Gt:
Gt=(V,E)=({IDi},{ej})
其中,j为由时间戳和标识符构成的字段Si中的标识符ID的序号。
在S300的一优选实施例中,对于己知的加权多重图Gt,利用改进的佩奇排名算法进行节点赋权的具体步骤如下:
对于已经得到的加权多重图Gt,采用改进的可以对加权有向多重图进行节点优先级权值计算的佩奇排名算法,针对加权有向多重图,以边总数与从该节点出发的有向边权值占总权值占比的乘积作为依据来计算加权多重图Gt中各个节点在当前序列中的优先程度。其中:
在改进的佩奇排名算法中,节点i在图中的优先级权重Wi具体可以表示为:
其中,N表示结点总数,q为防止孤立节点的存在而设置的修正量阻尼系数,/>表示以节点j为起点的第t条有向边的权值关于权值总和占比与边总数的乘积,/>具体公式为:
其中,表示以节点j为起点的第t条有向边的权值,∑kOrderk表示权值总和,N表示边总数。基于所述Wi和/>的表述,采用所述能够对加权有向多重图进行节点优先级权值计算的佩奇排名算法对所述加权多重图结构Gt中的各个节点进行迭代,计算出每个节点最终的权重序列,构成用于表示图中各个节点的优先级权重的向量Xt,则:
Xt=(W0,W1,...,Wn)
其中,Wi表示第i个CAN标识符IDi对应的节点在整个图中的优先级度量。
佩奇排名算法在S400的一优选实施例中,利用训练样本输入变分自动编码器中进行阈值计算,其具体步骤如下:
获取同一型号车辆的正常样本作为训练样本构建训练数据集,并计算训练样本的优先级权重向量;该计算优先级权重向量的方法与前面的计算方法可采用同一种方法,此处不再赘述;
利用训练样本得到的优先级权重向量Xt,输入到变分自动编码器中,利用变分自动编码器的特性使模型学习正样本的隐藏分布,并通过生成的编码器和解码器分别对输入向量Xt进行编码到隐藏层,再重构得到新的输出向量计算输出向量/>与输入向量Xt间表示前后变化程度的重构误差losst:
其中,与/>分别表示输入向量Xt与输出向量/>的均值,1e-10为安全因子,用于防止对数函数内部为0的情况发生。通过收集训练岩本的losst,得到重构误差区间的上界tu和下界tl并圈定可调参数误差范围θ作为阈值的偏差量,定为阈值t:
t=(t1,tu,θ)
所有经过编码和解码得到的输出向量与输入向量的重构误差在阈值所规定的范围内(包括端值)则规定为无异常注入情况,反之若超出所规定的阈值范围则判定为遭受了注入攻击产生了异常。
在S500的一优选实施例中,在取得阈值后,对待检测数据进行线上检测,其具体步骤如下:
获取与目标车辆为同一型号车辆的正常样本作为训练样本预先训练得到编码器、解码器和阈值后,在检测阶段按照固定时间间隔实时对目标车辆CAN总线流量采样得到待检测日志序列Lt,构成对应的多重图Gt,接着通用改进的佩奇排名算法获得各个节点的权值对应的向量Xt,在通过变分自动编码器进行自动化编码和解码后获得重构输出向量,接着计算重构误差losst,判断其是否在规定的阈值范围内,若在范围内,则认为未遭受注入攻击,反之则认为在这段时间内遭受了注入攻击。
在本发明部分实施例中:
针对车用CAN总线的入侵实时检测场景,定义了流量日志数据构成的加权多重图结构,这一结构可以聚合日志中的关键信息,将标识符进行链接,将日志中标识符的时间顺序和逻辑顺序进行统一管理和收集,通过对整体关键信息的对比,可以实现对恶意行为的检查。
在检测阶段,使用改进的佩奇排名算法给节点赋值生成权值向量,再利用变分自动编码器来进行重构前后的权值向量误差比对来达成恶意行为的检测。
通过针对某一车型已经提前训练得到的阈值、编码器和解码器来部署在该型号的车辆上,以此降低时间开销以及检查的消耗。采用了基于加权多重图和变分自动编码器的策略,保证了所提出检测方案在车联网场景下的可用性和可行性。
阈值是通过训练数据使用如上方法进行多重图构建及向量生成后预先训练使用变分自动编码器获得,表示为重构误差的最后将待检测数据输入变分自动编码器获得度量值,包括上界tu、下界tl和可调参数误差范围θ作为阈值的偏差量。对于任意给定日志划分得到的固定时间切片,整合后以同样方法进行重构误差分析,通过与阈值比较确定是否遭到注入攻击。若是,则弹出警告并记录出现异常的具体时间段和日志片段,反之则不作警告。
下面对本发明上述实施例提供的技术方案进一步详细说明。
本发明上述实施例提供的是一种基于加权多重图的车用CAN总线注入攻击异常检测方法,可以在车联网场景中部署使用,其工作示意图如图2所示,包括如下步骤:
步骤一,数据采集和预处理,车辆各个电子控制元件在依靠CAN总线进行信息交互时,通过分析仪从CAN总线中提取CAN总线消息日志,从日志中预处理提取出时间戳字段和标识符字段,并按照固定时间间隔划分,划分后得到的每个序列称为标识符序列。
步骤二,加权多重图构建,使用标识符序列,按照前后关系和时间顺序构建加权多重图,将提取出来的数据转化成为图结构上传至模型内部进行重构误差的计算。
步骤三,模型训练和阈值划分,将收集到的图结构输入变分自动编码器中进行训练,得到编码器和解码器以及确定的阈值范围,部署到目标车型上,可以实现对各种不同的恶意注入攻击的快速检测。
步骤四,线上攻击检测,在目标车辆运行时,实时提取CAN总线中的流量日志进行步骤一、二的过程,利用已经训练好的编码器、解码器和阈值进行重构误差的计算和判定,实现高效率、高可靠、低消耗的检测过程。
步骤一中,通过CAN分析仪从车用CAN总线上提取的流量日志定义为L,具体定义为:
L={(T,ID,DLC,Msg)}
CAN总线流量日志L可以基本表示为由时间戳T,标识符ID,数据长度DLC和消息Msg组成的日志序列。按照一个自定义的时间间隔Δt和初始时间t0,取其中的时间戳和标识符字段,将L划分成为长度固定的字段Si:
Si={(t,ID)}
其中t∈(t0+iΔt,t0+(i+1)Δt),i∈N,表示时间间隔内的时间戳和标识符ID的集合。
步骤二中,通过所得的流量日志进行多重图的构建:
对于每一个日志中划分得到的序列S,令日志中的标识符集合ID={IDi}为顶点集合V,前后顺序相邻的两个标识符IDj与IDj+1为有向边,以该边在序列中的时序序号Orderj作为权值构成边ej:
ej=(IDj,IDj+1,Orderj)
令加权有向边集合E={ej}形成边集合,令顶点集合V与边集合E构成加权多重图Gt:
Gt=(V,E)=({IDi},{ej})
其中j为由时间戳和标识符构成的序列Si中的标识符ID的序号。
步骤三中,对于已经得到的加权多重图Gt,采用改进的可以对加权有向多重图进行节点优先级权值计算的佩奇排名算法,针对加权有向多重图图,以边总数与从该节点出发的有向边权值占总权值占比的乘积作为依据来计算加权多重图Gt中各个节点在当前序列中的优先程度。其中:
在改进的佩奇排名算法中,节点i在图中的优先级权重Wi具体可以表示为:
其中,N表示结点总数,q为防止孤立节点的存在而设置的修正量阻尼系数,表示以节点j为起点的第t条有向边的权值关于权值总和占比与边总数的乘积,/>具体公式为:
其中,表示以节点j为起点的第t条有向边的权值,∑kOrderk表示权值总和,N表示边总数。基于所述Wi和/>的表述,采用所述能够对加权有向多重图进行节点优先级权值计算的佩奇排名算法对所述加权多重图结构Gt中的各个节点进行迭代,计算出每个节点最终的权重序列,构成用于表示图中各个节点的优先级权重的向量Xt,则:
Xt=(W0,W1,...,Wn)
其中,Wi表示第i个CAN标识符IDi对应的节点在整个图中的优先级度量。
步骤四中,利用训练样本输入变分自动编码器中进行阈值计算,其具体步骤如下:
利用训练样本得到的优先级权重向量Xt,输入到变分自动编码器中,使模型学习正样本的隐藏分布,通过生成的编码器和解码器分别对输入向量Xt进行编码到隐藏层,再重构得到新的输出向量计算输出向量/>与输入向量Xt间表示前后变化程度的重构误差losst:
其中与/>分别表示输入向量Xt与输出向量/>的均值,1e-10为安全因子,用于防止对数函数内部为0的情况发生。通过收集训练岩本的losst,得到重构误差区间的上界tu和下界tl并圈定可调参数误差范围θ作为阈值的偏差量,定为阈值t:
t=(tl,tu,θ)
所有经过编码和解码得到的输出向量与对应的输入向量计算得到的重构误差在阈值所规定的范围内则规定为无异常注入情况,反之若超出所规定的阈值范围则判定为遭受了注入攻击产生了异常。
步骤五中,取得阈值后,进行线上检测,其具体步骤如下:
获取与目标车辆同一型号车辆的正常样本预先训练得到编码器、解码器和阈值后,在检测阶段按照固定时间间隔实时对目标车辆的CAN总线流量采样得到待检测日志序列Lt,构成对应的多重图Gt,接着通用改进的佩奇排名算法获得各个节点的权值对应的向量Xt,在通过变分自动编码器进行自动化编码和解码后获得重构输出向量接着计算重构误差losst,判断其是否在规定的阈值范围内,若在范围内,则认为未遭受注入攻击,反而则认为在这段时间内遭受了注入攻击。
本发明一实施例提供了一种车用CAN总线注入攻击异常检测系统。
如图3所示,该实施例提供的车用CAN总线注入攻击异常检测系统,可以包括如下模块:
日志数据获取模块,该模块用于获取目标车辆中的CAN总线消息日志数据;
加权多重图构建模块,该模块用于按照固定时间段对日志数据进行划分,构建加权多重图结构;
优先级权重向量获取模块,该模块用于对加权多重图结构中各个节点的优先级进行计算,获得节点的优先级权重向量,得到待检测数据;
度量阈值获取模块,该模块利用获取的训练数据集对变分自动编码器进行训练,获得训练样本的度量阈值;
注入攻击异常检测模块,该模块用于将待检测数据输入至训练后的变分自动编码器获得待检测数据的度量值,通过与度量阈值进行比较,得到车用CAN总线注入攻击异常检测结果。
在一优选实施例中,日志数据获取模块采用CAN总线分析仪采集目标车辆中的CAN总线消息日志数据。
需要说明的是,本发明提供的方法中的步骤,可以利用系统中对应的模块、装置、单元等予以实现,本领域技术人员可以参照方法的技术方案实现系统的组成,即,方法中的实施例可理解为构建系统的优选例,在此不予赘述。
根据本发明的第三个方面,提供了一种终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时可用于执行上述任一项的方法,或,运行上述任一项的系统。
可选地,存储器,用于存储程序;存储器,可以包括易失性存储器(英文:volatilememory),例如随机存取存储器(英文:random-access memory,缩写:RAM),如静态随机存取存储器(英文:static random-access memory,缩写:SRAM),双倍数据率同步动态随机存取存储器(英文:Double Data Rate Synchronous Dynamic Random Access Memory,缩写:DDR SDRAM)等;存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory)。存储器用于存储计算机程序(如实现上述方法的应用程序、功能模块等)、计算机指令等,上述的计算机程序、计算机指令等可以分区存储在一个或多个存储器中。并且上述的计算机程序、计算机指令、数据等可以被处理器调用。
上述的计算机程序、计算机指令等可以分区存储在一个或多个存储器中。并且上述的计算机程序、计算机指令、数据等可以被处理器调用。
处理器,用于执行存储器存储的计算机程序,以实现上述实施例涉及的方法中的各个步骤。具体可以参见前面方法实施例中的相关描述。
处理器和存储器可以是独立结构,也可以是集成在一起的集成结构。当处理器和存储器是独立结构时,存储器、处理器可以通过总线耦合连接。
根据本发明的第四个方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时可用于执行上述任一项的方法,或,运行上述任一项的系统。
本发明上述实施例提供的车用CAN总线注入攻击异常检测方法及系统,可以有效解决车用CAN总线注入攻击的异常检测中总线协议不同和实际场景缺乏负样本数据不对等等情况。其主要原理是包含恶意样本的日志与正常日志在标识符序列结构上的差异:一些包含恶意样本的日志与正常日志内容差异较大,注入攻击会让序列产生不符合规律的新的标识符,使得整体结构产生变化。目前,一些基于图的检测方案已经被提出,但仍存在着众多的缺陷与不足,难以实现现实场景下对于车用CAN总线注入攻击异常检测的需要。部分检测方法使用图的相似性进行异常检测,但是由于图结构的简单性,对攻击的泛用性不高,无法检测出所有的注入攻击,部分检测方案使用手动确定阈值等方法保证检测的有效性,但不具备现实场景中的通用性。部分方法依靠机器学习的方法对恶意节点进行检测,但额外的开销较大且同时也不具备通用性。因此,这些方案都难以部署在许多实际场景中。而本发明上述实施例提供的车用CAN总线注入攻击异常检测方法及系统,有效解决了上述问题,并具有如下优点:泛用性强:对于各种注入攻击行为都能起到比较好的检测效果;低能耗:带来的额外计算开销小;高灵敏度:对于实际场景中日志流量产生的异常变化有较短的反应时间。因此,本发明上述实施例提供的车用CAN总线注入攻击异常检测方法及系统具有很大的潜力。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以,本发明提供的系统及其各项装置可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构;也可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本发明上述实施例中未尽事宜均为本领域公知技术。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。
Claims (8)
1.一种车用CAN总线注入攻击异常检测方法,其特征在于,包括:
获取目标车辆中的CAN总线消息日志数据;
按照固定时间段对所述日志数据进行划分,构建加权多重图结构;
对所述加权多重图结构中各个节点的优先级进行计算,获得节点的优先级权重向量,得到待检测数据;
获取训练数据集,利用所述训练数据集对变分自动编码器进行训练,获得训练样本的度量阈值;
将所述待检测数据输入至训练后的变分自动编码器获得所述待检测数据的度量值,将所述度量值与所述度量阈值进行比较,得到车用CAN总线注入攻击异常检测结果;
所述构建加权多重图结构,包括:
以所述日志数据中的标识符字段为顶点,相邻标识符顺序为有向边,以时序值为权值,构建加权多重图结构;其中:
对于每一个日志数据中划分得到的字段序列S,令所述日志数据中的标识符集合ID={〖ID〗_i}为顶点集合V,前后顺序相邻的两个标识符〖ID〗_j与〖ID〗_(j+1)为有向边,以所述有向边在字段序列S中的时序序号〖Order〗_j作为权值构成边e_j,则:
e_j=(〖ID〗_j,〖ID〗_(j+1),〖Order〗_j)
令加权有向边集合E={e_j}形成边集合,将所述顶点集合V与所述边集合E构成加权多重图结构G_t,则:
G_t=(V,E)=({〖ID〗_i},{e_j})
其中,j为由时间戳和标识符构成的字段S_i中的标识符的序号。
2.根据权利要求1所述的车用CAN总线注入攻击异常检测方法,其特征在于,按照固定时间段对所述日志数据进行划分,包括:
定义获取的CAN总线消息日志数据为一个由时间戳、标识符、数据长度和消息组成的日志序列L,则:
L={(T,ID,DLC,Msg)}
其中,T为时间戳,ID为标识符,DLC为数据长度,Msg为消息;
按照自定义的时间间隔Δt和初始时间t0,获取所述日志序列L中的时间戳和标识符字段,将每次获取的一个完整日志序列L划分为多个长度固定的字段Si:
Si={(t,ID)}
其中,t∈(t0+iΔt,t0+(i+1)Δt),i∈Ν,表示时间间隔内的时间戳和标识符的集合。
3.根据权利要求1所述的车用CAN总线注入攻击异常检测方法,其特征在于,所述对所述加权多重图结构中各个节点的优先级进行计算,获得节点的优先级权重向量,包括:
对于已经得到的加权多重图结构Gt,采用能够对加权有向多重图进行节点优先级权值计算的佩奇排名算法,针对加权有向多重图,以边总数与从该节点出发的有向边权值占总权值占比的乘积作为依据来计算所述加权多重图结构Gt中各个节点在当前序列中的优先程度;其中:
在所述能够对加权有向多重图进行节点优先级权值计算的佩奇排名算法中,节点i在所述加权多重图结构Gt中的优先级权重Wi表示为:
其中,N表示结点总数,q为防止孤立结点的存在而设置的修正量阻尼系数,表示以节点j为起点的第t条有向边的权值关于权值总和占比与边总数的乘积,/>为:
其中,表示以节点j为起点的第t条有向边的权值,∑kOrderk表示权值总和,N表示边总数;基于所述Wi和/>的表述,采用所述能够对加权有向多重图进行节点优先级权值计算的佩奇排名算法对所述加权多重图结构Gt中的各个节点进行迭代,计算出每个节点最终的权重序列,构成用于表示图中各个节点的优先级权重的向量Xt,则:
Xt=(W0,W1,…,Wn)
其中,Wi表示第i个CAN标识符IDi对应的节点在整个加权多重图结构Gt中的优先级度量。
4.根据权利要求1所述的车用CAN总线注入攻击异常检测方法,其特征在于,所述获取训练数据集,利用所述训练数据集对变分自动编码器进行训练,获得训练样本的度量阈值,包括:
获取同一型号车辆的正常样本作为训练样本构建训练数据集,并计算所述训练样本的优先级权重向量;
将所述训练样本的优先级权重向量输入到变分自动编码器中,利用变分自动编码器的特性使其学习正样本的隐藏分布,并通过生成的编码器对输入向量Xt进行编码到隐藏层,再通过生成的解码器重构得到输出向量计算所述输出向量/>与输入向量Xt之间表示前后变化程度的重构误差losst:
其中,与/>分别表示输入向量Xt与输出向量/>的均值,1e-10为安全因子;通过获取训练样本的重构误差losst,得到重构误差区间的上界tu和下界tl并圈定可调参数误差范围θ作为阈值的偏差量,定为训练样本的度量阈值t为:
t=(tl,tu,θ)
当经过编码器和解码器得到的输出向量与输入向量之间的重构误差处于所述度量阈值t所规定的范围以内时,确认为车用CAN总线无异常注入情况,反之,则确认为车用CAN总线遭受了注入攻击产生了异常。
5.一种车用CAN总线注入攻击异常检测系统,其特征在于,包括:
日志数据获取模块,该模块用于获取目标车辆中的CAN总线消息日志数据;
加权多重图构建模块,该模块用于按照固定时间段对所述日志数据进行划分,构建加权多重图结构;
优先级权重向量获取模块,该模块用于对所述加权多重图结构中各个节点的优先级进行计算,获得节点的优先级权重向量,得到待检测数据;
度量阈值获取模块,该模块利用获取的训练数据集对变分自动编码器进行训练,获得训练样本的度量阈值;
注入攻击异常检测模块,该模块用于将待检测数据输入至训练后的变分自动编码器获得所述待检测数据的度量值,通过与所述度量阈值进行比较,得到车用CAN总线注入攻击异常检测结果;
所述构建加权多重图结构,包括:
以所述日志数据中的标识符字段为顶点,相邻标识符顺序为有向边,以时序值为权值,构建加权多重图结构;其中:
对于每一个日志数据中划分得到的字段序列S,令所述日志数据中的标识符集合ID={〖ID〗_i}为顶点集合V,前后顺序相邻的两个标识符〖ID〗_j与〖ID〗_(j+1)为有向边,以所述有向边在字段序列S中的时序序号〖Order〗_j作为权值构成边e_j,则:
e_j=(〖ID〗_j,〖ID〗_(j+1),〖Order〗_j)
令加权有向边集合E={e_j}形成边集合,将所述顶点集合V与所述边集合E构成加权多重图结构G_t,则:
G_t=(V,E)=({〖ID〗_i},{e_j})
其中,j为由时间戳和标识符构成的字段S_i中的标识符的序号。
6.根据权利要求5所述的车用CAN总线注入攻击异常检测系统,其特征在于,所述日志数据获取模块采用CAN总线分析仪采集目标车辆中的CAN总线消息日志数据。
7.一种终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时可用于执行权利要求1-4中任一项所述的方法,或,运行权利要求5-6中任一项所述的系统。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时可用于执行权利要求1-4中任一项所述的方法,或,运行权利要求5-6中任一项所述的系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210817913.7A CN115277123B (zh) | 2022-07-12 | 2022-07-12 | 车用can总线注入攻击异常检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210817913.7A CN115277123B (zh) | 2022-07-12 | 2022-07-12 | 车用can总线注入攻击异常检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115277123A CN115277123A (zh) | 2022-11-01 |
CN115277123B true CN115277123B (zh) | 2024-01-19 |
Family
ID=83764124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210817913.7A Active CN115277123B (zh) | 2022-07-12 | 2022-07-12 | 车用can总线注入攻击异常检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277123B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102129477A (zh) * | 2011-04-23 | 2011-07-20 | 山东大学 | 一种多模态联合的图像重排序方法 |
CN102834309A (zh) * | 2010-02-26 | 2012-12-19 | 金泰克斯公司 | 自动车辆设备监控、报警和控制系统 |
CN105103452A (zh) * | 2013-05-30 | 2015-11-25 | 日本电气株式会社 | 数据压缩系统 |
CN105612503A (zh) * | 2013-08-09 | 2016-05-25 | 桑迪士克科技股份有限公司 | 持久性数据结构 |
KR20180069588A (ko) * | 2016-12-15 | 2018-06-25 | 한국전자통신연구원 | 표준 모델의 다중 패턴을 이용한 물체 인식 장치 및 방법 |
CN108431587A (zh) * | 2015-12-31 | 2018-08-21 | 科磊股份有限公司 | 混合检验器 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10664656B2 (en) * | 2018-06-20 | 2020-05-26 | Vade Secure Inc. | Methods, devices and systems for data augmentation to improve fraud detection |
US20210073287A1 (en) * | 2019-09-06 | 2021-03-11 | Digital Asset Capital, Inc. | Dimensional reduction of categorized directed graphs |
-
2022
- 2022-07-12 CN CN202210817913.7A patent/CN115277123B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102834309A (zh) * | 2010-02-26 | 2012-12-19 | 金泰克斯公司 | 自动车辆设备监控、报警和控制系统 |
CN102129477A (zh) * | 2011-04-23 | 2011-07-20 | 山东大学 | 一种多模态联合的图像重排序方法 |
CN105103452A (zh) * | 2013-05-30 | 2015-11-25 | 日本电气株式会社 | 数据压缩系统 |
CN105612503A (zh) * | 2013-08-09 | 2016-05-25 | 桑迪士克科技股份有限公司 | 持久性数据结构 |
CN108431587A (zh) * | 2015-12-31 | 2018-08-21 | 科磊股份有限公司 | 混合检验器 |
KR20180069588A (ko) * | 2016-12-15 | 2018-06-25 | 한국전자통신연구원 | 표준 모델의 다중 패턴을 이용한 물체 인식 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
CN115277123A (zh) | 2022-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | Anomaly detection for industrial control system based on autoencoder neural network | |
Hanselmann et al. | CANet: An unsupervised intrusion detection system for high dimensional CAN bus data | |
CN110909811B (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
CN110149345B (zh) | 一种基于报文序列预测的车载网络入侵检测方法 | |
Cao et al. | A novel false data injection attack detection model of the cyber-physical power system | |
Karimipour et al. | Intelligent anomaly detection for large-scale smart grids | |
CN110942109A (zh) | 一种基于机器学习的pmu防御虚假数据注入攻击方法 | |
CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
CN112333194B (zh) | 基于gru-cnn的综合能源网络安全攻击检测方法 | |
Ustun et al. | Artificial intelligence based intrusion detection system for IEC 61850 sampled values under symmetric and asymmetric faults | |
CN113094707B (zh) | 一种基于异质图网络的横向移动攻击检测方法及系统 | |
Ruan et al. | An inertia-based data recovery scheme for false data injection attack | |
CN111049680A (zh) | 一种基于图表示学习的内网横向移动检测系统及方法 | |
CN103679025B (zh) | 一种基于树突细胞算法的恶意代码检测方法 | |
CN110012009A (zh) | 基于决策树和自相似模型结合的物联网入侵检测方法 | |
Oozeer et al. | Cognitive dynamic system for control and cyber-attack detection in smart grid | |
CN111383128A (zh) | 一种用于监测电网嵌入式终端设备运行状态的方法及系统 | |
Shitharth et al. | A new probabilistic relevancy classification (PRC) based intrusion detection system (IDS) for SCADA network | |
Arvani et al. | Detection and protection against intrusions on smart grid systems | |
CN115277123B (zh) | 车用can总线注入攻击异常检测方法及系统 | |
CN113361608A (zh) | 一种基于横向对比特征和神经网络的隐蔽窃电检测方法 | |
CN102164140A (zh) | 基于否定选择和信息增益的入侵检测方法 | |
CN116909788A (zh) | 一种任务导向和视角不变的多模态故障诊断方法及系统 | |
CN112637104A (zh) | 异常流量检测方法和系统 | |
CN111865947B (zh) | 一种基于迁移学习的电力终端异常数据生成方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |